搜索引擎是软件还是网站,ip段访问网站代码,舆情系统,高清线和视频线区别在2017年6月份举办的第23届Gartner安全与风险管理峰会上#xff0c;Gartner的Fellow——Neil McDonald发布了2017年度的11个最新最酷的信息安全技术#xff0c;比往年的10大技术多了一项。以往都是通过互联网了解Gartner的各种信息和报告。这次#xff0c;本人有幸亲临现场Gartner的Fellow——Neil McDonald发布了2017年度的11个最新最酷的信息安全技术比往年的10大技术多了一项。 以往都是通过互联网了解Gartner的各种信息和报告。这次本人有幸亲临现场参加峰会自然有更多的感悟。参加峰会期间获得的信息量实在太大直到现在虽然已经过去了2个多月依然没有消化完。回到主题以往我都是聚焦于每年选出来的10大信息安全技术本身但对这些技术是如何被Gartner选出来的却从未过问。既然亲临现场了就对此有了更多的了解。原来Gartner选择年度顶级技术的标准是1不能仅仅是个趋势譬如大数据、IoT2必须是真实存在的安全技术门类并且有实实在在的厂商提供这类技术和产品3不能仅仅处于研究状态但也不能已经成为主流技术4符合Gartner对于客户需求和技术发展趋势的判断。按照这个标准基本上顶级技术都会位于Gartner Hype Cycle的曲线顶峰部分或者是低谷的部分。【通过这个图也能体会到如何使用Gartner的Hype Cycle】这11大技术分别是01. Cloud WorkloadProtection Platforms云工作负载保护平台CWPP02. Remote Browser远程浏览器03. Deception欺骗技术04. Endpoint Detection andResponse 终端检测与相应EDR05. Network Traffic Analysis网络流量分析NTA06. Managed Detection andResponse可管理检测与响应MDR07. Microsegmentation微隔离08. Software-DefinedPerimeters软件定义边界SDP09. Cloud Access SecurityBrokers云访问安全代理CASB10. OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的开源软件OSS安全扫描与软件成分分析11. Container Security容器安全国内对于2017年的这11大技术也有很多翻译的文章譬如FreeBuf但我认为这些译文多少都有不确切之处译文原文可参见Gartner新闻(http://www.gartner.com/newsroom/id/3744917)。Neil将这11项技术分为了三类1 面向威胁的技术这类技术都在Gartner的自适应安全架构的范畴之内包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离2 访问与使能技术包括SDP、CASB3 安全开发包括OSS安全扫描与软件成分分析、容器安全。从另外一个角度看这11项技术有5个都直接跟云安全挂钩CWPP、微隔离、SDP、CASB、容器安全也应证了云技术的快速普及。针对上述11大技术其中远程浏览器、欺骗技术、EDR、微隔离、CASB共5个技术也出现在了2016年度的10大信息安全技术列表之中。各位可以参见我写的2016年度Gartner10大信息安全技术的解读文章这里不再赘述。剩下6个技术简要分析如下 CWPP云工作负载保护平台现在数据中心的工作负载都支持运行在包括物理机、虚拟机、容器、私有云的环境下甚至往往出现部分工作负载运行在一个或者多个公有云IaaS提供商那里的情况。混合CWPP为信息安全的管理者提供了一种集成的方式让他们能够通过一个单一的管理控制台和统一的安全策略机制去保护那些工作负载而不论这些工作负载运行在何处。事实上CWPP这个概念就是Neil本人发明的。他在2016年3月份发表了一份题为《CWPP市场指南》的分析报告并第一次对CWPP进行了正式定义CWPP市场是一个以工作负载为中心的安全防护解决方案它是一种典型的基于代理Agent的技术方案。这类解决方案满足了当前横跨物理和虚拟环境、私有云和多种公有云环境的混合式数据中心架构条件下服务器工作负载防护的独特需求。还有的甚至也同时支持基于容器的应用架构。Neil将CWPP解决方案的能力进行了层次划分并归为基础支撑、核心能力、扩展能力三大类。下图是Neil发布的2017年版《CWPP市场指南》中描绘的能力层次图由上至下重要性逐渐递增那份报告对这个图中的每一层都进行详细阐述。明眼人一看就会觉得其实这个CWPP的核心就是一个主机IPS/IDS只不过放到的云环境中。当然除了HIPS/HIDS功能外还扩展了一些其他功能。其实CWPP这个提法在Gartner内部也是存在分歧的我跟Gartner的分析师就此进行过讨论。也因此Gartner将CWPP市场映射为CWPP解决方案而非单一的CWPP产品因为CWPP的每个能力层都涉及不同的技术整个CWPP涉及的技术面更是十分广泛。此外每个CWPP提供商的产品功能都不尽相同甚至存在较大差异。而用户要对其云工作负载云主机进行防护的话恐怕也不能选择某个单一的CWPP产品而需要统筹考虑进行多种技术的集成。当然不排除随着Gartner力推CWPP概念将来会出现更加完整的CWPP产品即所谓的“Single pane of glass to hybrid cloud workload protection”。在2017年的云安全HypeCycle中CWPP位于低谷位置Gartner认为CWPP处于青春期距离成熟市场还有2到5年的时间。目前国内已经有厂商进入CWPP市场。希望随着我们对CWPP认识的清晰不要以后国内出现一窝蜂地将传统技术简单包装而成的CWPP厂商就如EDR那样。 NTA网络流量分析作为威胁检测的高级技术之一NTA是在2014年就跟EDR一同提出来的。而NTA的前身则是NBANetwork Behavior Analysis一项早在2005年就被Gartner提出来的技术。我对NBA/NTA的研究也有十年了也做出过NBA/NTA类的产品。根据Gartner的定义NTA融合了传统的基于规则的检测技术以及机器学习和其他高级分析技术用以检测企业网络中的可疑行为尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量通常部署在关键的网络区域对东西向和南北向的流量进行分析而不会试图对全网进行监测。在NTA入选11大技术的解说词中Gartner说到NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻|击的企业而言可以考虑将NTA作为一种备选方案。 MDR威胁检测与响应服务MDR是一类服务并且通常不在传统的MSS/SaaS提供商的服务目录中。作为一种新型的服务项目MDR为那些想提升自身威胁检测、事件响应和持续监测能力却又无力依靠自身的能力和资源去达成的企业提供了一个不错的选择。MDR对于SMB市场尤其具有吸引力因为打中了他们的“兴奋点”。MDR服务是Gartner在2016年正式提出来的定位于对高级攻|击的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同MDR还试图帮助客户监测内部网络中的流量尤其是识别高级攻|击的横向移动环节的蛛丝马迹以求更好地发现针对客户内部网络的高级攻|击。二要做到这点就需要在客户网络中部署多种高级攻|击检测技术设备还要辅以安全分析。对于MDR服务而言这些额外部署在客户侧的设备是属于服务提供商的而非客户的。这些设备硬件或者软件既可能是基于网络的也可能是基于主机的也可能兼有之。在安全分析的过程中会用到威胁情报也可能用到专业的安全分析师。在检测出攻|击进行响应的时候MDR服务强调迅速、直接、轻量化简洁、高效而不会过多顾及安全管理与事件处置的流程很多时候通过提供商部署在客户侧的设备就响应处置掉了。显然这种服务与传统的MSS相比对客户而言更具影响性但也更加高效也是高级威胁对客户造成的风险越来越大的必然反应。Gartner预计到2020年将有15%的组织使用MDR类的服务而现在仅不到1%。同时到2020年80%的MSSP都会提供MDR类的安全服务称之为“AdvancedMSS”。在未来两年MSS尚不会完全覆盖MDR服务。 SDP软件定义边界SDP将不同的网络相连的个体软硬件资源定义为一个逻辑集合形成一个安全计算区域和边界这个区域中的资源对外不可见对该区域中的资源进行访问必须通过可信代理的严格访问控制从而实现将这个区域中的资源隔离出来降低其受***的暴露面的目标。这种技术最初是CSA云安全联盟提出来的是SDN和SDS概念的交集。刚开始SDP主要针对WEB应用到现在也可以针对其他应用来构建SDP了。SDP的出现消除了传统的固化边界对传统的设置DMZ区以及搭建V|PN的做法构成了挑战是一种颠覆性的技术。也可以说SDP是一种逻辑的、动态的边界这个边界是以身份和情境感知为核心的。这让我想起了思睿嘉得的DJ说过的一句话“身份是新边界”。在Gartner的云安全Hype Cycle中SDP位于新兴阶段正处于曲线的顶峰。Gartner预测到2017年底至少10%的企业组织将利用SDP技术来隔离敏感的环境。 面向DevSecOps的开源软件OSS安全扫描与软件成分分析在2016年的10大信息安全技术中也提到了DevSecOps但强调的是DevSecOps的安全测试。今年安全测试变成了安全扫描与软件成分分析其实基本上是一个意思只是更加具体化了。对于DevSecOps的落地而言最关键的一点就是自动化和透明化。安全控制措施在整个DevSecOps周期中都要能够自动化地非手工的进行配置。并且这个自动化的过程必须是对DevOps团队尽量透明的既不能影响到DevOps的敏捷性本质同时还要能够达成法律、合规性以及风险管理的要求。SCA软件成分分析是一个比较有趣的技术。SCA专门用于分析开发人员使用的各种源码、模块、框架和库以识别和清点开源软件OSS的组件及其构成和依赖关系并识别已知的安全漏洞或者潜在的许可证授权问题把这些风险排查在应用系统投产之前。如果用户要保障软件系统的供应链安全这个SCA很有作用。目前我们的研发也已经做了一些这方面的工作并将这些成果应用到资产的统一漏洞管理产品之中。在Gartner的应用安全的Hype Cycle中SCA属于成熟早期的阶段属于应用安全测试的范畴既包含静态测试也包含动态测试。 容器安全容器使用的是一种共享操作系统OS的模型。对宿主OS的某个漏洞利用攻|击可能导致其上的所有容器失陷。容器本身并非不安全但如果缺少安全团队的介入以及安全架构师的指导容器的部署过程可能产生不安全因素。传统的基于网络或者主机的安全解决方案对容器安全没啥作用。容器安全解决方案必须保护容器从创建到投产的整个生命周期的安全。目前大部分容器安全解决方案都提供投产前扫描和运行时监测保护的能力。根据Gartner的定义容器安全包括开发阶段的风险评估和对容器中所有内容信任度的评估也包括投产阶段的运行时威胁防护和访问控制。在Hype Cycle中容器安全目前处于新兴阶段。【参考】Gartner2016年十大信息安全技术含解读Gartner2014年十大信息安全技术
